PoC

Ribuan repositori GitHub memberikan eksploitasi PoC palsu dengan malware

October 24, 2022 by Eevee

Para peneliti di Leiden Institute of Advanced Computer Science menemukan ribuan repositori di GitHub yang menawarkan eksploitasi proof-of-concept (PoC) palsu untuk berbagai kerentanan, beberapa di antaranya termasuk malware.

Menurut makalah teknis dari para peneliti di Leiden Institute of Advanced Computer Science, kemungkinan terinfeksi malware alih-alih mendapatkan PoC bisa mencapai 10,3%, tidak termasuk palsu dan prankware yang terbukti.

Para peneliti menganalisis sedikit lebih dari 47.300 repositori yang mengiklankan eksploitasi untuk kerentanan yang diungkapkan antara 2017 dan 2021 menggunakan tiga mekanisme berikut:

Analisis alamat IP: membandingkan IP penerbit PoC dengan daftar blokir publik dan VT dan AbuseIPDB.
Analisis biner: jalankan pemeriksaan VirusTotal pada executable yang disediakan dan hashnya.
Analisis heksadesimal dan Base64: memecahkan kode file yang dikaburkan sebelum melakukan pemeriksaan biner dan IP.

Dari 150.734 IP unik yang diekstraksi, 2.864 entri daftar blokir yang cocok, 1.522 terdeteksi sebagai berbahaya dalam pemindaian antivirus di Virus Total, dan 1.069 di antaranya ada di database AbuseIPDB.

Alamat IP ditemukan di berbagai daftar blokir (Arxiv.org)

Analisis biner memeriksa satu set 6.160 executable dan mengungkapkan total 2.164 sampel berbahaya yang dihosting di 1.398 repositori.

Secara total, 4.893 repositori dari 47.313 yang diuji dianggap berbahaya, dengan sebagian besar dari mereka terkait dengan kerentanan mulai tahun 2020.

Repositori berbahaya per tahun (Arxiv.org)

Laporan tersebut berisi sekumpulan kecil repositori dengan PoC palsu yang mengirimkan malware. Namun, para peneliti berbagi setidaknya 60 contoh lain yang masih hidup dan dalam proses dihapus oleh GitHub.

Dengan melihat lebih dekat ke beberapa kasus tersebut, para peneliti menemukan sejumlah besar malware dan skrip berbahaya yang berbeda, mulai dari trojan akses jarak jauh hingga Cobalt Strike.

Satu kasus yang menarik adalah PoC untuk CVE-2019-0708, umumnya dikenal sebagai “BlueKeep”, yang berisi skrip Python base64 yang dikaburkan yang mengambil VBScript dari Pastebin.

Scriptnya adalah Houdini RAT, trojan berbasis JavaScript lama yang mendukung eksekusi perintah jarak jauh melalui CMD Windows.

Dalam kasus lain, para peneliti melihat PoC palsu yang merupakan pencuri informasi yang mengumpulkan informasi sistem, alamat IP, dan agen pengguna.

Salah satu peneliti, El Yadmani Soufian, memberikan contoh tambahan yang tidak termasuk dalam laporan teknis, yang diberikan di bawah ini:

PowerShell PoC yang berisi biner yang dikodekan dalam base64 ditandai sebagai berbahaya di Total Virus.

Python PoC berisi one-liner yang mendekode payload yang disandikan base64 yang ditandai sebagai berbahaya di Virus Total.

Eksploitasi BlueKeep palsu berisi executable yang ditandai oleh sebagian besar mesin antivirus sebagai berbahaya, dan diidentifikasi sebagai Cobalt Strike.

Skrip yang bersembunyi di dalam PoC palsu dengan komponen berbahaya yang tidak aktif yang dapat menyebabkan kerusakan jika pembuatnya menginginkannya.

Oleh karena itu mempercayai repositori di GitHub secara membabi buta dari sumber yang tidak diverifikasi akan menjadi ide yang buruk karena kontennya tidak dimoderasi, jadi pengguna harus meninjaunya sebelum menggunakannya.

Penguji perangkat lunak disarankan untuk memeriksa dengan cermat PoC yang mereka unduh dan menjalankan pemeriksaan sebanyak mungkin sebelum menjalankannya.

Soufian percaya bahwa semua penguji harus mengikuti tiga langkah berikut:

Baca dengan cermat kode yang akan Anda jalankan di jaringan Anda atau pelanggan Anda.
Jika kode terlalu dikaburkan dan membutuhkan terlalu banyak waktu untuk menganalisis secara manual, sandbox di lingkungan (mis: Mesin Virtual yang terisolasi) dan periksa jaringan Anda untuk setiap lalu lintas yang mencurigakan.
Gunakan alat intelijen sumber terbuka seperti VirusTotal untuk menganalisis binari.

Para peneliti telah melaporkan semua repositori berbahaya yang mereka temukan ke GitHub, tetapi akan memakan waktu sampai semuanya ditinjau dan dihapus, begitu banyak yang masih tersedia untuk umum.

Seperti yang dijelaskan Soufian, penelitian mereka bertujuan tidak hanya berfungsi sebagai tindakan pembersihan satu kali di GitHub, tetapi juga bertindak sebagai pemicu untuk mengembangkan solusi otomatis yang dapat digunakan untuk menandai instruksi berbahaya dalam kode yang diunggah.

Sumber: Bleeping Computer

Manfaatkan kelemahan Realtek kritis yang memengaruhi banyak perangkat jaringan

August 18, 2022 by Eevee

Kode eksploitasi telah dirilis untuk kerentanan kritis yang memengaruhi perangkat jaringan dengan sistem RTL819x Realtek pada chip (SoC), yang diperkirakan berjumlah jutaan.

Cacat diidentifikasi sebagai CVE-2022-27255 dan penyerang jarak jauh dapat mengeksploitasinya untuk mengkompromikan perangkat yang rentan dari berbagai produsen peralatan asli (OEM), mulai dari router dan titik akses hingga repeater sinyal.

Para peneliti dari perusahaan keamanan siber Faraday Security di Argentina menemukan kerentanan di SDK Realtek untuk sistem operasi eCos open-source dan mengungkapkan detail teknisnya minggu lalu di konferensi peretas DEFCON.

Empat peneliti (Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga) yang dianggap menemukan kerentanan adalah mahasiswa ilmu komputer di Universitas Buenos Aires.

Presentasi mereka mencakup seluruh upaya yang mengarah untuk menemukan masalah keamanan, mulai dari memilih target hingga menganalisis firmware dan mengeksploitasi kerentanan, dan mengotomatiskan deteksi pada gambar firmware lainnya.

CVE-2022-27255 adalah buffer overflow berbasis tumpukan dengan skor keparahan 9,8 dari 10 yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode tanpa otentikasi dengan menggunakan paket SIP yang dibuat khusus dengan data SDP berbahaya.

Realtek mengatasi masalah pada bulan Maret dengan mencatat bahwa hal itu mempengaruhi seri rtl819x-eCos-v0.x dan seri rtl819x-eCos-v1.x dan dapat dieksploitasi melalui antarmuka WAN.

Empat peneliti dari Faraday Security telah mengembangkan kode eksploitasi proof-of-concept (PoC) untuk CVE-2022-27255 yang bekerja pada router Nexxt Nebula 300 Plus.

Para peneliti mencatat bahwa CVE-2022-27255 adalah kerentanan tanpa klik, yang berarti bahwa eksploitasi diam dan tidak memerlukan interaksi dari pengguna.

Penyerang yang mengeksploitasi kerentanan ini hanya membutuhkan alamat IP eksternal dari perangkat yang rentan.

Johannes Ullrich, Dekan Riset SANS mengatakan bahwa penyerang jarak jauh dapat mengeksploitasi kerentanan untuk tindakan berikut:

merusak perangkat
jalankan kode arbitrer
membangun Backdoor untuk ketekunan
merutekan ulang lalu lintas jaringan
mencegat lalu lintas jaringan

Ullrich memperingatkan bahwa jika eksploitasi untuk CVE-2022-27255 berubah menjadi worm, itu bisa menyebar ke internet dalam hitungan menit.

Meskipun patch telah tersedia sejak Maret, Ullrich memperingatkan bahwa kerentanan mempengaruhi “banyak (jutaan) perangkat” dan bahwa perbaikan tidak mungkin menyebar ke semua perangkat.

Ini karena beberapa vendor menggunakan Realtek SDK yang rentan untuk peralatan berdasarkan SoC RTL819x dan banyak dari mereka belum merilis pembaruan firmware.

Tidak jelas berapa banyak perangkat jaringan yang menggunakan chip RTL819x tetapi versi RTL819xD dari SoC hadir dalam produk dari lebih dari 60 vendor. Diantaranya ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet, dan Zyxel.

Peneliti mengatakan bahwa:

Perangkat yang menggunakan firmware yang dibangun di sekitar Realtek eCOS SDK sebelum Maret 2022 rentan
Anda rentan bahkan jika Anda tidak mengekspos fungsionalitas antarmuka admin apa pun
Penyerang dapat menggunakan satu paket UDP ke port arbitrer untuk mengeksploitasi kerentanan
Kerentanan ini kemungkinan akan paling memengaruhi router, tetapi beberapa perangkat IoT yang dibangun di sekitar SDK Realtek juga mungkin terpengaruh

Ulrich membuat aturan Snort di sini yang dapat mendeteksi eksploitasi PoC. Itu mencari pesan “INVITE” dengan string “m=audio” dan terpicu ketika ada lebih dari 128 byte (ukuran buffer yang dialokasikan oleh Realtek SDK) dan jika tidak ada yang merupakan carriage return.

Pengguna harus memeriksa apakah peralatan jaringan mereka rentan dan menginstal pembaruan firmware dari vendor yang dirilis setelah Maret, jika tersedia. Selain itu, organisasi dapat mencoba memblokir permintaan UDP yang tidak diminta.

Sumber: Bleeping Computer

Microsoft merilis eksploitasi PoC untuk kerentanan pelarian Sandbox macOS

July 15, 2022 by Eevee

Microsoft telah menerbitkan kode eksploit untuk kerentanan di macOS yang dapat membantu penyerang melewati batasan sandbox dan menjalankan kode pada sistem.

Perusahaan merilis detail teknis untuk masalah keamanan, yang saat ini diidentifikasi sebagai CVE-2022-26706, dan menjelaskan bagaimana aturan Kotak Pasir Aplikasi macOS dapat dihindari untuk memungkinkan kode makro berbahaya dalam dokumen Word untuk menjalankan perintah pada mesin.

Menyalahgunakan makro dalam dokumen Office untuk menyebarkan malware telah lama menjadi teknik yang efisien dan populer untuk menyusup ke sistem Windows.

Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan bahwa kerentanan ditemukan saat mencari metode untuk menjalankan dan mendeteksi makro berbahaya dalam dokumen Microsoft Office di macOS.

Untuk memastikan kompatibilitas mundur, Microsoft Word dapat membaca dan menulis file yang datang dengan awalan “~$,” yang ditentukan dalam aturan kotak pasir aplikasi.

Sandbox rule untuk Microsoft Word di macOS
sumber: Microsoft

Setelah mempelajari laporan yang lebih lama [1, 2] tentang keluar dari kotak pasir macOS, para peneliti menemukan bahwa menggunakan Layanan Peluncuran untuk menjalankan perintah open –stdin pada file Python khusus dengan awalan yang disebutkan di atas memungkinkan keluar dari Kotak Pasir Aplikasi di macOS, yang berpotensi menyebabkan kompromi sistem.

Para peneliti datang dengan proof-of-concept (PoC) yang menggunakan opsi -stdin untuk Perintah terbuka pada file Python untuk melewati pembatasan atribut tambahan “com.apple.quarantine”.

Kode eksploitasi demo semudah menjatuhkan file Python yang berisi perintah arbitrer dan memiliki awalan khusus untuk Word dalam namanya.

Menggunakan perintah open -stdin memulai aplikasi Python dengan file yang dibuat khusus sebagai input standar.

Sandbox macOS melarikan diri dari PoC
sumber: Microsoft

Para peneliti bahkan berhasil mengompres kode eksploit di atas sedemikian rupa sehingga pas menjadi sebuah tweet.

Versi ukuran tweet dari Sandbox macOS yang lolos dari PoC
sumber: Microsoft

Microsoft melaporkan kerentanan terhadap Apple tahun lalu pada bulan Oktober dan perbaikan dikirimkan dengan pembaruan keamanan macOS pada Mei 2022 (Big Sur 11.6.6)

Sumber: Bleeping Computer

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

March 22, 2022 by Eevee

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

PoC baru untuk bug Microsoft Exchange membuat serangan dapat menjangkau siapa pun

March 15, 2021 by Winnie the Pooh

Awal pekan ini, seorang peneliti keamanan bernama Nguyen Jang menerbitkan entri blog yang merinci eksploitasi bukti konsep (POC) untuk kerentanan Microsoft Exchange ProxyLogon. Jang juga membagikan eksploitasi yang sengaja rusak di GitHub yang memerlukan beberapa perbaikan agar berfungsi dengan benar.

Namun, PoC memberikan informasi yang cukup sehingga peneliti keamanan dan pelaku ancaman dapat menggunakannya untuk mengembangkan eksploitasi eksekusi kode jarak jauh fungsional untuk server Microsoft Exchange.

Segera setelah PoC diterbitkan, Jang menerima email dari GitHub milik Microsoft yang menyatakan bahwa PoC telah dihapus karena melanggar Kebijakan Penggunaan yang Dapat Diterima.

Akhir pekan ini, seorang peneliti keamanan yang berbeda menerbitkan ProxyLogon PoC baru yang memerlukan sedikit modifikasi untuk mengeksploitasi server Microsoft Exchange yang rentan dan meletakkan shell web di atasnya.

Will Dorman, Analis Kerentanan di CERT / CC, menguji kerentanan pada server Microsoft Exchange dan memberi tahu BleepingComputer bahwa itu bekerja dengan sedikit modifikasi.

“Sekarang sudah dalam jangkauan ‘script kiddie'”, Dorman memperingatkan dalam diskusi mengenai PoC.

Dengan eksploitasi untuk kerentanan Microsoft Exchange yang tersedia untuk umum, semakin penting bagi administrator untuk menambal server mereka sesegera mungkin.

Selengkapnya: Bleeping Computer

Proof-of-concept exploits published for the Microsoft-NSA crypto bug. Patch Your Windows NOW!

January 17, 2020 by Winnie the Pooh

Hari kamis kemarin, Peneliti keamanan dari Kudelski Security dan Peneliti keamanan dari Denmark telah menerbitkan kode proof-of-concept (PoC) untuk mengeksploitasi kerentanan yang baru-baru ini diperbaiki dalam sistem operasi Windows, kerentanan yang telah dilaporkan ke Microsoft oleh Badan Keamanan Nasional AS (NSA).

Menurut NSA, DHS, dan Microsoft, ketika dieksploitasi, bug ini (dilacak sebagai CVE-2020-0601) dapat memungkinkan peretas untuk:

Meluncurkan serangan MitM (man-in-the-middle), memotong dan memalsukan koneksi HTTPS
Memalsukan tanda tangan untuk file dan email
Memalsukan kode executable yang sudah ditandatangani yang berjalan di dalam Windows

Ahli keamanan dan ahli kriptografi yang berpengalaman seperti Thomas Ptacek dan Kenneth White telah mengkonfirmasi keparahan kerentanan dan dampak luas pada kerentanan tersebut.

Belum 24 jam setelah kerentanan itu diperbaiki, Saleem Rashid, seorang peneliti keamanan, telah menunjukkan bagaimana penyerang dapat mengeksploitasi kerentanan tersebut untuk menyamar sebagai situs web atau server menggunakan kriptografi di Internet. Dia tidak memperlihatkan kode yang ia pakai, tetapi beberapa jam setelahnya, beberapa peneliti membocorkan kode tersebut.

Karena adanya bocoran kode eksploitasi, ini menjadi “sangat mungkin” untuk peretas mengeksploitasi bug tersebut.

Sangat disarankan kepada seluruh pengguna Windows untuk memasang patch terbaru dari Windows yang baru saja rilis hari selasa kemarin.

Source: ARS Technica | ZDNet | Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

PoC

Cookies Settings